Jak mogę wstępnie podpisać certyfikaty lalek?

Puppet wymaga certyfikatów między zarządzanym klientem (puppet) a serwerem (puppetmaster). Możesz uruchomić ręcznie na kliencie, a następnie przejść na serwer, aby podpisać certyfikat, ale jak zautomatyzować ten proces dla klastrów / maszyn w chmurze?

Na serwerze (puppetmaster) uruchom:

puppetca --generate <NAME>

Następnie skopiuj następujące dane z serwera na klienta:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

Jeśli chcesz się zalogować <NAME>jako coś innego niż nazwa hosta, użyj:

puppetd --fqdn=<NAME>

I dodaj do /etc/puppet/puppet.conf, jeśli uruchamiasz demona

[puppetd]
certname=<NAME>

Jeśli masz bazę danych hosta, możesz użyć funkcji automatycznego podpisywania. W swoim puppet.confpliku [puppetmasterd]dodaj:

autosign = /path/to/autosign.conf

Następnie użyj crontab, aby wygenerować ten plik. Plik autosign jest tylko listą hostów do autosignu, kiedy po raz pierwszy łączą się z puppetmaster. Używam LDAP do konfigurowania moich hostów lalek, więc mój cron wygląda następująco:

* * * * * root /usr/bin/ldapsearch -x '(objectClass=puppetClient)' cn | /bin/grep ^cn | /bin/sed 's!^cn: !!' > /etc/puppet/autosign.conf

Jestem pewien, że osoby korzystające z iClassify mogłyby napisać zapytanie, aby zrobić to samo.

Oczywiście musisz mieć zaufanie do sieci. Używam tego na EC2. Mój serwer puppetmaster należy do grupy, która zezwala tylko na połączenia z innych zaufanych grup. Nie poleciłbym tego robić, jeśli twój puppetmaster jest otwarty na Internet.

Prosta odpowiedź: automatycznie podpisuj nowe wnioski. Jest to oczywiście niebezpieczne, ponieważ ślepo ufasz każdemu systemowi, który łączy się z twoim puppetmasterem, co jest celem wymagającym ręcznego podpisywania.

[puppetmasterd]
autosign = true

Możesz także określić fałsz i plik, który ma być używany do określania, które klucze należy podpisać.

Zobacz informacje o konfiguracji na wiki Puppet.

Inną opcją jest użycie narzędzia takiego jak Capistrano , w którym określasz węzeł puppetmaster i tworzysz węzły instancji klienta, aw zadaniu:

• Utwórz węzeł instancji, powiedzmy za pomocą interfejsu API EC2 z Ruby.
• Uruchom puppetd na instancji, łącząc się z serwerem.
• Uruchom puppetca --sign dla żądania instancji (ponieważ znamy nazwę instancji podaną w bicie tworzenia powyżej).
• Uruchom puppetd ponownie w instancji, tym razem pomyślnie nawiązując połączenie po podpisaniu certyfikatu.

Na serwerze (puppetmaster) uruchom:

puppetca --generate <NAME>

Następnie skopiuj następujące dane z serwera na klienta:

/var/lib/puppet/ssl/certs/<NAME>.pem
/var/lib/puppet/ssl/certs/ca.pem
/var/lib/puppet/ssl/private_keys/<NAME>.pem

Jeśli chcesz mieć coś innego niż nazwę hosta, użyj:

puppetd --fqdn=<NAME>

I dodaj do /etc/puppet/puppet.conf, jeśli uruchamiasz demona

[puppetd]
certname=<NAME>